Oracle выпустила «заплатку», закрывающую критическую уязвимость в сервере приложений WebLogic в версиях 7.0 и выше.
Несмотря на то что российский эксперт Евгений Легеров из Intevydis опубликовал сообщение об обнаруженной «дыре» две недели назад, корпорация отреагировала только сейчас.
Уязвимость затрагивает компонент Node Manager (предназначен для дистанционных запуска и останова серверов), обычно закрытый брандмауэром. Однако в случае получения хакером доступа к административному порту Node Manager эксплойт позволяет проникнуть непосредственно в WebLogic, причем без необходимости ввода пароля.
В практике корпорации выпуск внеочередного исправления — очень редкий случай: обычно патчи выходят раз в квартал. Однако эта уязвимость получила по классификации Oracle высший балл опасности (десять из десяти возможных).
Подготовлено по материалам PC World.
